变量覆盖常常被恶意攻击者用来跳过正常的业务逻辑,越过权限限制,恶意攻击系统,严重时将造成系统瘫痪。
1、全局变量覆盖
当register_globals全局变量设置开启时,传递过来的值会被直接注册为全局变量而直接使用,这会造成全局变量覆盖。
如果通过$GLOBALS从浏览器动态获取变量,也会发生变量覆盖的情况。为了方便理解,引用全局变量配置的例子进行介绍。
- <form name="login" action="LoginUrl" method="POST">
- <input type=“text” name="username">
- <input type=“password” name="password">
- <input type=“submit” value="login">
- </form>
通过$GLOBALS获取浏览器提交的变量。
- <?php
- foreach($_REQUEST as $param=>$value) {
- $GLOBALS[$param]=>$value; // 使用$GLOBALS造成变量覆盖
- }
- if(authenticated_user()) { // 认证用户是否登录
- $authorized=true;
- }
攻击者在请求中构造authorized=true,无须认证用户名和密码就可以直接设置authorized的值为true,从而跳过认证进入登录状态。
为了避免全局变量覆盖的发生,研发人员不应该使用上面的方式从客户端接收动态变量将其放入全局的$GLOBALS中。以下是修复后的代码。
- <?php
- $username=$_POST['username'];
- $password=$_POST['password'];
- if(authenticated_user($username,$password)) { // 认证用户是否登录
- $authorized=true;
- }
2、动态变量覆盖
PHP动态变量是指一个变量的变量名可以动态地设置和使用,一个变量获取另一个变量的值作为这个变量的变量名。以下是动态变量示例。
- <?php
- $Bar="a";
- $Foo="Bar";
- $World="Foo";
- $Hello="World";
- $a="Hello";
- echo $a; // 输出Hello
- echo $$a; // 输出World
- echo $$$a; // 输出Foo
- echo $$$$a; // 输出Bar
- echo $$$$$a; // 输出a
- echo $$$$$$a; // 输出Hello
- echo $$$$$$$a; // 输出World
研发人员在平时研发过程中多多少少会使用一些动态变量,然而使用不当将会造成变量覆盖,所以应该尽量避免使用PHP的动态变量。
以下代码示例中的动态变量就属于使用不当的情况。
- <?php
- foreach($_POST as $key=>$value) {
- $$key=$value; // 造成动态变量覆盖
- }
- if(authenticated_user()) { // 认证用户是否登录
- $authorized=true;
- }
- ?>
当用户提交的参数中包含authorized=true时,在执行authenticated_user()步骤之前,authorized的值已经被设置为true,因此用户在无须通过校验的情况下即可直接向下执行,绕过了校验逻辑,造成任意越权访问的后果。
为了避免全局变量覆盖的发生,应尽量不使用动态变量接收客户端参数。以下是修复后的代码。
- <?php
- $username=$_POST['username'];
- $password=$_POST['password'];
- if(authenticated_user($username,$password)) { // 认证用户是否登录
- $authorized=true;
- }
3、函数extract()变量覆盖
extract()函数的作用是从数组中导入变量到当前符号表中,检查每个键是否是有效的变量名。它还检查与符号表中现有变量是否冲突。为了防止发生变量覆盖,在使用的时候需要将flags设置为EXTR_SKIP,以免将已有变量覆盖。
- <?php
- extract($_REQUEST ); // 使用extract造成变量覆盖
- if(authenticated_user()) { // 认证用户是否登录
- $authorized=true;
- }
- ?>
当用户提交的参数中包含authorized=true时,在执行authenticated_user()步骤之前,extract()函数从$_REQUEST中解析到authorized并设置全局变量,它的值被设置为true。此时,用户在无须通过校验的情况下可直接向下执行,绕过了校验逻辑,造成任意越权访问。
为了避免全局变量覆盖的发生,应尽量不使用extract()函数接收客户端参数。下面是修复后的代码。
- <?php
- $username=$_POST['username'];
- $password=$_POST['password'];
- if(authenticated_user($username,$password)) { // 认证用户是否登录
- $authorized=true;
- }
4、函数import_request_variables()变量覆盖
import_request_variables()函数的作用是导入GET/POST/Cookie变量进入全局范围。如果在PHP配置中禁用了register_globals,但是又希望导入一些全局变量,可能会用到import_request_variables()函数。
- <?php
- import_request_variables("gp"); // 导入GET和POST中的变量造成变量覆盖
- if(authenticated_user()) { // 认证用户是否登录
- $authorized=true;
- }
- ?>
当用户提交的参数中包含authorized=true时,在执行authenticated_user()步骤之前,import_request_variables解析GET或POST中包含的authorized参数,并且设置为true。此时,用户在无须通过校验的情况下可直接向下执行,绕过了校验逻辑,造成任意越权访问。
为了避免全局变量覆盖的发生,应尽量不使用上述方式接收客户端参数。以下是修复后的代码。
- <?php
- $username=$_POST['username'];
- $password=$_POST['password'];
- if(authenticated_user($username,$password)) { // 认证用户是否登录
- $authorized=true;
- }
5、函数parse_str()变量覆盖
parse_str()函数用于解析客户端以x-www-form-urlencoded编码格式的字符串到PHP变量中。该函数有指定输出变量和不指定输出变量两种使用方式。
以下示例是parse_str()的两种使用方式。
- <?php
- $str="first=value&arr[]=foo+bar&arr[]=baz";
- // 第一种:当指定输出变量时
- parse_str($str,$output);
- echo $output['first']; // value
- echo $output['arr'][0]; // foo bar
- echo $output['arr'][1]; // baz
- // 第一种:当不指定输出变量时
- parse_str($str);
- echo $first; // value
- echo $arr[0]; // foo bar
- echo $arr[1]; // baz
- ?>
在不指定输出变量的情况下,极易出现变量覆盖,影响正常业务逻辑,例如以下形式。
- <?php
- parse_str($GLOBALS['HTTP_RAW_POST_DATA']); //获取POST中的变量造成变量覆盖
- if(authenticated_user()) { // 认证用户是否登录
- $authorized=true;
- }
- ?>
当用户在提交的参数中直接提交authorized=true时,parse_str()函数通过解析POST中的authorized并且将值设置为true。此时,无须执行if条件内部语句即可将authorized的值设置为true,就跳过了用户验证逻辑,造成任意登录。
为了避免全局变量覆盖的发生,应尽量使用指定输出变量的方式。以下是修复后的代码。
- <?php
- parse_str($_POST,$output);
- if(authenticated_user($output['username'],$output['password'])) { // 认证用户是否登录
- $authorized=true;
- }